科技部110年度預算案編列「財團法人國家實驗研究院發展計畫」57億2,740萬8千元，「財團法人國家同步輻射研究中心發展計畫」18億2,165萬7千元，全數均為獎補助費。經查：

(一)公務機關、關鍵基礎設施提供者及政府捐助之財團法人均屬資通安全管理法納管對象，並應依規定報行政院核定資通安全責任等級

1.資通安全管理法自108年1月1日開始施行。依該法第3條第6款至第9款，納管對象包括公務機關，以及關鍵基礎設施提供者、公營事業及政府捐助之財團法人等特定非公務機關。

2.另依該法之子法—資通安全責任等級分級辦法第2條、第3條第2項及第6項規定，資通安全責任等級，由高至低，分為A級、B級、C級、D級及E級。行政院直屬機關應每2年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級，報行政院核定。各機關因組織或業務調整，致須變更原資通安全責任等級時，應即依相關程序辦理等級變更。

(二)除同步輻射中心資通安全責任等級為C級外，科技部及所屬與所管特定非公務機關均為B級

1.行政院108年6月14日核定科技部、新竹科學工業園區管理局、中部科學工業園區管理局、南部科學工業園區管理局、國家災害防救科技中心、財團法人國家實驗研究院(下稱國研院)等資通安全責任等級均為B級，同年7月24日核定科技部主管財團法人國家同步輻射研究中心資通安全責任等級為C級。

2.科技部、3個科學園區及災防中心資通安全責任等級分別因維運高科技領域資安聯防機制及平台、園區廠商通關系統及維運災防重要系統而列為B級，國研院資通安全責任等級則因業務涉及公務機關捐助、資助或研發之敏感科學技術資訊之安全維護及管理而列為B級。

(三)國研院國網中心110年度受補助辦理之新增科技計畫部分涉及政府、人民健康與疾病及其他相關資料

國研院為政府捐助比率100%之財團法人，設立宗旨為因應國家未來科技研究需求，建立良好研究環境，有效利用共同實驗研究設施，推動尖端科技研究，以提昇科技研究水準，培育優秀人才等。該院內部實驗研究單位國家高速網路與計算中心(下稱國網中心)110年度將辦理之新增科技計畫部分涉及政府與人民資料，例舉如下：

1.健康大數據永續平台計畫預計辦理期程110年度至113年度，該計畫為跨部會合作計畫，計畫目標係為布局我國精準健康藍圖，結合衛福部、科技部及經濟部3部會與產官學研量能，建立我國完善之健康大數據體系，以支援醫療照護、研究應用與產業發展。該計畫補助國網中心建置國家級之友善生醫資料分享平台及以病人為核心之前瞻生醫資料庫，運用生醫資料庫大數據與AI運算能量，開發疾病相關之新穎生物標記與疾病風險評估模式。爰國網中心主導有效儲存、壓縮、傳輸與運算機制，相關資料涉及人民健康與疾病及其他相關資料。

2.「強化公部門網路服務與運算雲端基礎設施計畫」辦理期程110年度至114年度，該計畫為跨部會合作計畫，計畫目標係國發會、教育部與科技部合作共同打造公共網路優化之數位創新基礎之整合應用環境。該計畫因應數位時代大資料傳輸需求，規劃以國研院國網中心台南與新竹節點資料中心建置與維運公共服務網路交換中心，串接臺灣學術網路（TANet）、政府骨幹網路服務（GSN）、臺灣高品質學術研究網路（TWAREN）及中央研究院網路（ASNet）等4大公共服務網路，強化網路備援與強韌性，提供高速網路服務環境。衡酌該計畫提供雲世代政府公共服務所需網路、計算、儲存、備份備援資源，涉及政府與人民相關資料。

(四)科技部允宜評估是否須依相關程序辦理變更原資通安全責任等級，以適用較嚴格之資通安全維護要求及管考

1.資通安全責任等級分級辦法依業務以及系統之重要性，與牽涉範圍為全國性、區域性、地區性等差異，依照重要性高低將公務及非公務機關分成5個等級。依該辦法第4條及第5條規定，資通安全責任等級列為A級情形含括業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運、業務涉及全國性民眾或公務員個人資料檔案之持有等。而維運共用性資通系統為涉及區域性、地區性民眾服務或跨公務機關者或持有之民眾個人資料檔案為區域性或地區性者，其資通安全責任等級則為B級。

2.依資通安全責任等級分級辦法附表2及附表4特定非公務機關資通安全責任等級分為A級與B級應辦事項不同之處包括管理面之運作演練、資安稽核頻率與資安專責人員配置人數；技術面之安全性檢測及資安健檢頻率；認知與訓練面之資安教育訓練人數與證照要求等(詳表1)，而以A級應辦事項之頻率及人數均高於B級。

3.如前述，國研院執行110年度新增科技計畫部分涉及政府與人民資料，科技部允宜評估該院業務是否涉及全國性民眾服務或跨公務機關共用性資通系統之維運或涉及全國性民眾或公務員個人資料檔案之持有，致須依相關程序辦理變更原資通安全責任等級，以適用較嚴格之資通安全維護要求及管考。

綜上，科技部主管財團法人國家實驗研究院資通安全責任等級經行政院108年6月間核定為B級，因該院110年度新增執行之科技計畫部分涉及政府、人民健康與疾病及其他相關資料，科技部允宜全盤就其及所屬與所管特定非公務機關，評估是否須依相關程序辦理變更原資通安全責任等級，以適用較嚴格之資通安全維護要求及管考。

表1 資通安全責任等級A級與B級非公務機關應辦事項差異表

面向

辦理項目

辦理項目細項

A級

B級

管理面

業務持續運作演練

全部核心資通系統

每年1次

每2年1次

辦理內部資通安全稽核

每年2次

每年1次

資通安全專責人員

初次受核定或等級變更後1年內，配置4人

初次受核定或等級變更後1年內，配置2人

技術面

安全性檢測

全部核心資通系統網站安全弱點檢測

每年2次

每年1次

全部核心資通系統系統滲透測試

每年1次

每2年1次

資通安全健診

網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視

每年1次

每2年1次

認知與訓練

資通安全教育訓練

資通安全專責人員

每年至少4名人員各接受12小時以上資通安全專業課程訓練或資通安全職能訓練

每年至少2名人員各接受12小時以上資通安全專業課程訓練或資通安全職能訓練

資通安全專業證照

初次受核定或等級變更後1年內，資通安全專責人員總計應持有4張以上，並持續維持證照之有效性

初次受核定或等級變更後1年內，資通安全專責人員總計應持有2張以上，並持續維持證照之有效性

資料來源：彙總自資通安全責任等級分級辦法附表2及附表4特定非公務機關資通安全責任等級分為A級與B級應辦事項。